Home Sociedad Ratel RAT apunta a teléfonos Android obsoletos en ataques de ransomware

Ratel RAT apunta a teléfonos Android obsoletos en ataques de ransomware

Un malware de código abierto para Android llamado ‘Ratel RAT’ es ampliamente implementado por múltiples ciberdelincuentes para atacar dispositivos obsoletos, algunos con el objetivo de bloquearlos con un módulo de ransomware que exige el pago en Telegram.

Los investigadores Antonis Terefos y Bohdan Melnykov de Check Point informan que han detectado más de 120 campañas que utilizan el malware Rafel RAT.

Actores de amenazas conocidos llevan a cabo algunas de estas campañas, como APT-C-35 (DoNot Team), mientras que en otros casos, se determinó que Irán y Pakistán eran los orígenes de la actividad maliciosa.

En cuanto a los objetivos, Check Point menciona ataques exitosos contra organizaciones de alto perfil, incluso en el sector gubernamental y militar, siendo la mayoría de las víctimas de Estados Unidos, China e Indonesia.

En la mayoría de las infecciones examinadas por Check Point, las víctimas ejecutaron una versión de Android que había llegado al final de su vida útil (EoL) y ya no recibía actualizaciones de seguridad, lo que la hacía vulnerable a fallas conocidas/publicadas.

Se trata de las versiones de Android 11 y anteriores, que representaron más del 87,5% del total. Sólo el 12,5% de los dispositivos infectados ejecutan Android 12 o 13.

En cuanto a marcas y modelos específicos, hay una combinación de todo, incluidos Samsung Galaxy, Google Pixel, Xiaomi Redmi, Motorola One y dispositivos de OnePlus, Vivo y Huawei. Esto demuestra que Ratel RAT es una herramienta de ataque eficaz contra una variedad de implementaciones de Android diferentes.

Ratel RAT se propaga a través de varios medios, pero normalmente se ve a los actores de amenazas abusando de marcas conocidas como Instagram, WhatsApp, plataformas de comercio electrónico o aplicaciones antivirus para engañar a las personas para que descarguen APK maliciosos.

El módulo de ransomware en Rafel RAT está diseñado para ejecutar esquemas de extorsión tomando el control del dispositivo de la víctima y cifrando sus archivos usando una clave AES predefinida.

Si se han obtenido privilegios de DeviceAdmin en el dispositivo, el ransomware obtiene control sobre funciones cruciales del dispositivo, como la capacidad de cambiar la contraseña de la pantalla de bloqueo y agregar un mensaje personalizado en la pantalla, a menudo la nota de rescate.

Si el usuario intenta revocar los privilegios de administrador, el ransomware puede reaccionar cambiando la contraseña y bloqueando la pantalla inmediatamente.

Los investigadores de Check Point observaron varias operaciones de ransomware que involucraban a Rafel RAT, incluido un ataque de Irán que realizó un reconocimiento utilizando otras capacidades de Ratel RAT antes de ejecutar el módulo de cifrado.

El atacante borró el historial de llamadas, cambió el fondo de pantalla para mostrar un mensaje personalizado, bloqueó la pantalla, activó la vibración del dispositivo y envió un SMS que contenía la nota de rescate, que instaba a la víctima a enviarle un mensaje en Telegram para “resolver este problema”.

Para defenderse de estos ataques, evite las descargas de APK de fuentes dudosas, no haga clic en las URL incluidas en correos electrónicos o SMS y analice las aplicaciones con Play Protect antes de iniciarlas.